Hackers chineses passaram mais de 14 meses em laboratórios de IA e defesa nos EUA e Canadá, revela Google

A Google Threat Intelligence Group (GTIG) divulgou nesta segunda-feira que um grupo ligado à China, identificado como UNC6508, permaneceu por mais de 14 meses dentro de redes de pesquisa acadêmica, médica e militar nos Estados Unidos e no Canadá antes de ser detectado. O acesso inicial veio pela exploração de servidores REDCap (Research Electronic Data Capture), software de captura de dados de pesquisa amplamente usado em universidades e centros médicos. A operação rodou entre setembro de 2023 e novembro de 2025, segundo o relatório.

A natureza dos alvos é o que diferencia esta campanha das outras atribuídas a atores estatais chineses neste ano. UNC6508 buscava dados sobre inteligência de defesa, estratégia militar no Indo-Pacífico, inteligência artificial, veículos não tripulados, programas de guerra cibernética e pesquisa médica avançada. A combinação aponta para coleta direcionada e indica que os alvos não foram oportunistas.

INFINITERED e o abuso do Google Workspace

A peça técnica central da operação é o INFINITERED, malware customizado que o GTIG descreve em três componentes. O primeiro é um dropper que intercepta atualizações legítimas do REDCap. O segundo é um harvester de credenciais que captura usernames e senhas digitados na aplicação. O terceiro é um backdoor com função de command-and-control. A cadeia permite ao atacante substituir uma rotina de atualização confiável por uma versão modificada que mantém a aparência da original.

Após capturar as credenciais, o grupo se moveu lateralmente nas redes internas das instituições. A inovação operacional, segundo a Mandiant Consulting, que assessorou a Google na investigação, foi a manipulação de regras de compliance de conteúdo no Google Workspace para exfiltração silenciosa de dados. O atacante não usou um canal externo bruto, dobrou a infraestrutura interna da vítima para que ela mesma entregasse arquivos via fluxos legítimos.

Mandiant notificou diretamente as entidades canadenses afetadas e está prestando suporte técnico de remediação. Nenhuma instituição comprometida foi nomeada publicamente até o fechamento desta matéria. A GTIG não divulgou número de organizações atingidas e não comentou se há indício de comprometimento ativo persistente após novembro de 2025.

A leitura para Canadá, Europa e Brasil

Para o Canadá, é mais um caso de espionagem cibernética estatal contra a base de pesquisa do país, e reabre a discussão sobre orçamento e mandato do Communications Security Establishment, debate que vinha em segundo plano desde o início do ano. O esforço de Ottawa em definir mínimos de segurança cibernética para universidades com financiamento federal, em discussão desde 2025, ganha novo argumento concreto.

Para a Europa, o vetor importa mais do que o resultado. O REDCap é usado em mais de 6 mil instituições em mais de 145 países, incluindo grandes universidades alemãs, francesas e britânicas. Imperial College London, Karolinska Institute e Charité Berlim aparecem em estudos publicados em 2026 citando REDCap como ferramenta de coleta de dados. O alerta da GTIG não delimita o ataque às instituições norte-americanas, ele descreve uma técnica de abuso que se aplica a qualquer instalação REDCap exposta à internet.

Para o Brasil, o ponto sensível é o conjunto de hospitais universitários e centros de pesquisa que rodam REDCap em fluxos de ensaio clínico. USP, Hospital das Clínicas, Fiocruz e Hospital Israelita Albert Einstein operam instâncias do software em projetos com financiamento da FAPESP e da CAPES. Nenhum ataque atribuído à mesma campanha foi reportado em solo brasileiro até agora, mas o vetor de comprometimento, atualizações de REDCap manipuladas e regras de Workspace alteradas, transfere-se para qualquer instalação não auditada.

O que o C-level deve fazer agora

A recomendação técnica da GTIG é direta. Bloquear o acesso externo a servidores REDCap, validar checksums de todas as atualizações instaladas desde setembro de 2023 e auditar regras de compliance de conteúdo no Google Workspace, especialmente as criadas por usuários administrativos não esperados. Para CISOs de farma, biotech e defesa, o checklist tem peso prático imediato.

A peça que escapa do escopo técnico é a duração. UNC6508 ficou 14 meses dentro de redes acadêmicas conectadas a contratos de defesa sem ser detectado. A questão de governance que isso levanta para qualquer instituição com pesquisa sensível, em qualquer país, é se a separação entre redes de pesquisa universitária e redes operacionais de contratos críticos resiste a um adversário paciente que combina técnica de cadeia de suprimentos com abuso de SaaS legítimo. O relatório do Google sugere que, sem investimento em monitoramento de atualização de software de pesquisa, a resposta é não.